Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

Modulo V BCP Seguridad Física

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 124

DIPLOMADO DE SEGURIDAD

INFORMATICA

Modulo V
Business Continuity Planning

Modulo V Business Continuity Planning


Parte 1
INTRODUCCIÓN AL PLAN
DE CONTINUIDAD DE
OPERACIONES

Modulo V Business Continuity Planning


QUE ES UNA ORGANIZACIÓN?

Clientes y
Proveedores Procedimientos
Terceras Partes
Personal y otros Activos
Físicos

Input Procesos Output

Tecnología de Información

Modulo V Business Continuity Planning


EFECTIVIDAD OPERACIONAL
INCREMENTAR
REDUCIR INGRESOS
COSTOS

RED DE CORE
PROVEEDO BUSINESS RED DE
RES CLIENTES

MEJORAR LA EFICIENCIA
Y EL CONTROL CAMBIOS EN
OPERACIONES PARA
MEJORAR ENTREGA/
PRODUCCION
Modulo V Business Continuity Planning
DEFINICIÓN
• Plan de Continuidad del Negocio
(BCP) es la identificación y protección
de los procesos críticos de negocio
que son requeridos para mantener un
nivel aceptable de operación en
ocurrencia de un evento súbito que
genere interrupciones inesperadas en
estos procesos y sus recursos de
soporte.

Modulo V Business Continuity Planning


OBJETIVO

• Proveer una solución para


mantener operativa la infraestructura
tecnológica, humana y de proceso
requerida por la organización, cuando
se ve afectada por fallas o siniestros

Modulo V Business Continuity Planning


ESTADO DE RECUPERACIÓN
OPTIMO

Impacto en
el Negocio
COSTO

Estrategia
óptima

Costo de
recuperación

TIEMPO
Modulo V Business Continuity Planning
SECUENCIA

Fuente: NIST

Modulo V Business Continuity Planning


TIPOS DE PLANES DE
RECUPERACIÓN
PLAN PROPOSITO ALCANCE

Business Procedimientos para sustentar los Procesos de negocio,


Continuity procesos de negocio esenciales personal, seguridad,
Plan (BCP) mientras se recuperan de una prevención, IT como
interrupción significativa. soporte de los procesos
de negocio
Business Procedimientos de recuperación de Procesos de negocio, IT
Recovery procesos de negocio inmediatamente considerado como
Plan (BRP) después de un desastre. Cobertura soporte de los procesos
reducida de negocio
Continuity Procedimientos para sustentar las Procesos esenciales de
Of funciones estratégicas del módulo la sede principal. No
Operation principal de la organización durante 30 requiere un desastre
Plan días en un sitio alterno de proceso.
(COOP)
National Institute of Standards and Technology (NIST)
Modulo V Business Continuity Planning
TIPOS DE PLANES DE
RECUPERACIÓN
PLAN PROPOSITO ALCANCE

Continuity Procedimientos para recuperar las Focalizado en


of Support principales aplicaciones interrupciones de la
Plan función IT
Disaster Procedimientos detallados para Interrupciones mayores
Recovery recuperar la operación en un sitio de la función de
Plan (DRP) alterno de procesamiento sistemas.
Incident Estrategias para detectar, responder y Seguridad de la
Response limitar consecuencias de ataques a la información, la red y los
Plan red sistemas
Occupant Procedimientos para minimizar Seguridad del personal,
Emergency pérdidas de vidas o lesiones en el no cubre procesos de
Plan (OEP) personal negocio ni función de
sistemas

National Institute of Standards and Technology (NIST)


Modulo V Business Continuity Planning
INTERRELACIÓN ENTRE LOS
DIFERERENTES PLANES

Fuente: NIST

Modulo V Business Continuity Planning


DISASTER RECOVERY
PLAN

Modulo V Business Continuity Planning


PLAN DE RECUPERACIÓN DE
DESASTRES
• El DRP en una compañía es parte
integral de lo que se puede denominar
el plan de continuidad del negocio.
Este plan debe ser consistente con el
plan general de la organización y
debe brindar apoyo a la misma.

Modulo V Business Continuity Planning


OBJETIVO

• El objetivo del DRP es asegurar la


reanudación de los sistemas
computarizados en un tiempo
prudencial y manejable durante las
circunstancias adversas.

• Esto con base en la priorización de


las funciones críticas del negocio y de
otras variables claves en el proceso
de recuperación.
Modulo V Business Continuity Planning
SINIESTROS

Modulo V Business Continuity Planning


EXPOSICIÓN Y CONTROL
AMBIENTAL
• Las exposiciones ambientales se deben
principalmente a acontecimientos que ocurren
naturalmente, sin embargo con los controles
adecuados se pueden reducir. Las exposiciones
mas comunes son:
• Incendio
• Desastre natural
• Falla de energía eléctrica
• Choque eléctrico
• Inundación
Modulo V Business Continuity Planning
SINIESTROS Y ESCENARIOS

• Siniestro es un evento que genera la


interrupción en el ciclo productivo o de
prestación de servicios en una
organización, generando pérdidas
económicas principalmente. Es la
materialización de un riesgo.

• Se entiende por escenario la ocurrencia


de los posibles siniestros que afectan los
diferentes recursos de la organización.

Modulo V Business Continuity Planning


TIPOS DE SINIESTROS

• SINIESTROS CATASTROFICOS

• Terremoto
• Temblor
• Anegación
• Inundación
• Incendio por tormenta
• eléctrica
• Incendio por otras causas
• Explosiones por gas/
• combustibles

Modulo V Business Continuity Planning


TIPOS DE SINIESTROS

• SINIESTROS QUE AFECTAN LOS EQUIPOS, EL


SOFTWARE, LA INFORMACION Y LAS
COMUNICACIONES:

• Falla en suministros de energía


• Falla en comunicaciones
• Falla en hardware
• Fallas en software: Operativo, comunicaciones, base de
datos, aplicativos.
• Fallas en redes locales
• Falla equipos de respaldo
• Falla en el aire acond.
• Falla en UPS o p. eléctrica

Modulo V Business Continuity Planning


TIPOS DE SINIESTROS

• SINIESTROS OCASIONADOS POR EL


HOMBRE
• Terrorismo
• Sabotaje interno con
• y sin violencia
• Sabotaje externo con
• y sin violencia
• Acción militar o policíva
• (conmoción civil)
• Guerra civil
• Error humano
• Sustracción de hd
• Falta de suministros
Modulo V Business Continuity Planning
TIPOS DE SINIESTROS

SINIESTROS POR RETIRO DE PERSONAL O


POR ALTA DEPENDENCIA DE ELLOS

• Ausencia de personal clave


• Despidos masivos
• Conflicto laboral
• Personal insatisfecho

Modulo V Business Continuity Planning


TIPOS DE SINIESTROS

SINIESTROS POR HUELGA EN LOS


SERVICIOS PUBLICOS

SINIESTROS POR IMPOSIBILIDAD DE


ACCESO
• Imposibilidad de acceso
• Condiciones climáticas difíciles

Modulo V Business Continuity Planning


OCURRENCIA DE SINIESTROS POR
TIPO
220
200
180
160
140
120
100
80
60
40
20
0

Naturales PHI PHNI

Provocados por el Hombre Intencionalmente


Provocados por el Hombre NO Intencionalmente

Modulo V Business Continuity Planning


IMPACTO SEGÚN LA NATURALEZA
DEL NEGOCIO

Bancos / Inst. Financ.

Distribución

Industrias Diversas

Manufactura

Seguros

Promedio Industrias

0 1 2 3 4 5 6 Días

Fuente: 450 empresas marzo-mayo 2002. BCGroup


Modulo V Business Continuity Planning
RISK ASSESSMENT

Modulo V Business Continuity Planning


DEFINICIÓN

• Es la evaluación del ambiente de


control general (infraestructura física,
políticas y procedimientos de control)
y su capacidad para disminuir los
riesgos presentes en una
organización.

Modulo V Business Continuity Planning


OBJETIVO

• Mitigar los riesgos (residuales)


que no se encuentran cubiertos (o
cubiertos inadecuadamente) por los
controles de la organización y que
pueden afectar la continuidad del
negocio de manera representativa.

Modulo V Business Continuity Planning


ENFOQUE DEL RA

Fuente: NIST

Modulo V Business Continuity Planning


SELECCIÓN DE AMBIENTES

• Cada una de las sedes de la organización


–depósitos, centros de atención, centros
de procesamiento, etc.-

• Cada una de las áreas/pisos dentro de


cada una de las sedes si el tamaño lo
amerita

• Centros de outsourcing

Modulo V Business Continuity Planning


EVALUACIÓN RIESGOS
NATURALES
Riesgo Exposición Observaciones Recomendación

Sismos Media La aceleración pico efectiva de la zona es Ninguna.


de 0.1 - 0.2, la edificación es una estructura
baja (hasta dos pisos)

Deslizamientos / Baja La oficina esta sobre terrenos plano, lejana Ninguna


Movimientos de Tierra de ríos y quebradas.

Inundación Baja No se encuentran fuentes de agua, ni Ninguna.


regiones inundables próximas.

Huracanes Baja La zona donde se encuentra la oficina no Ninguna.


esta expuesta a este tipo de riesgo.

Actividad Volcánica Baja No se presenta actividad volcánica cercana Ninguna.

Microsoft Word
Document

Modulo V Business Continuity Planning


MATRIZ ESCENARIO
IMPACTO

IBM AS/400 e SERIES MODELO 600 COMPAQ PROLIANT 3000


RECURSO AFECTADO HARDWARE SOFTWARE HARDWARE SOFTWARE

MEMORIA PRINCIPAL

MEMORIA PRINCIAL
COMUNICACIONES

COMUNICACIONES
DISCOS DUROS (8)

UNIDAD DISKETTE
UNIDAD DE CINTA

UNIDAD DE CINTA
BASES DE DATOS

BASES DE DATOS
UNIDAD DE CD

UNIDAD DE CD
PROCESADOR

PROCESADOR

DISCO DURO
APLICATIVO

APLICATIVO
OPERATIVO

OPERATIVO
TECLADO

TECLADO
MONITOR

MONITOR
MOUSE
SINIESTRO

TERREMOTO
CATASTROFICOS

TEMBLOR
SINIESTROS

ANEGACION
INUNDACION
INCENDIO POR TORMENTA ELECTRICA
INCENDIO POR OTRAS CAUSAS
EXPLOSIONES POR GAS/COMBUSTIBLES

FALLA EN SUMINISTROS DE ENERGIA


ROS QUE AFECTAN PARCIALMENTE H/W,

FALLA EN COMUNICACIONES
FALLA SUMINISTRO DE AGUA

FALLA EN HARDWARE
S/W Y COMUNIC.

FALLAS EN SOFTWARE

Modulo V Business Continuity Planning


DEFINICIONES Y CLASIFICACIONES
UTILIZADAS
RISK ASSESSMENT FORMAT
SINIESTROS EN GENERAL
EFECTIVIDAD
OBSERVACIONES /
AMENAZA RIESGO IMPACTO MEDIDAS PREVENTIVAS DE LAS RECOMENDACIONES
COMENTARIOS
MEDIDAS

Riesgo: es la probabilidad de que una Las medidas preventivas son evaluadas


amenaza o siniestro ocurra. con relación a su efectividad en cuanto a
la reducción del impacto en caso de la
· Alto ocurrencia de una amenaza o siniestro.
· Medio
· Bajo Optima
· Ninguno Buena
Regular
Baja
Impacto: define el nivel de daños o
perjuicios causados en el evento de Evaluación final: considera el riesgo, el impacto y
que una amenaza o siniestro ocurra. la efectividad de las medidas preventivas
existente y tomadas, generando uno de los
· Muy bajo siguientes resultados:
· Bajo
· Medio Nivel alto de peligro
· Alto
· Muy alto Nivel intermedio de peligro
· N/A Situación adecuada para la organización

Modulo V Business Continuity Planning


FACTORES DE RIESGO

• Agua:
Explosiones en tubos
Lluvia
Activación sistemas de extinción
Humedad
Pérdida suministro
Inundaciones externas

Modulo V Business Continuity Planning


FACTORES DE RIESGO

• Fuego:
Daños en elementos de
extinción
Incendio accidental
Incendio provocado
Explosiones de combustibles

Modulo V Business Continuity Planning


FACTORES DE RIESGO

• Daños a los recursos:


Sabotaje
Accidental
Robo
Pérdida de datos históricos
Corte en el suministro de energía
Tensión eléctrica

Modulo V Business Continuity Planning


FACTORES DE RIESGO
• Hardware, software y
comunicaciones:
Hardware
Software
Proveedores
Back up
Red
Comunicaciones

Modulo V Business Continuity Planning


FACTORES DE RIESGO

• Personas:
Procedimientos de evacuación
Personal insuficiente
Personal no confiable
Personal clave
Huelgas, paralizaciones

Modulo V Business Continuity Planning


FACTORES DE RIESGO

• Otros:
Vecindades
Actos terroristas
Impacto de vehiculos
Contratos de arrendamiento
Construcciones defectuosas
Instalaciones inadecuadas

Modulo V Business Continuity Planning


CONTROLES
Para exposiciones ambientales y todos los siniestros
que puedan suceder o formar parte inherente al análisis
de riesgo se consideran como algunos de los controles
deseados los siguientes:

• Detectores de agua
• Extintores
• Alarmas de incendio Manuales
• Detectores de humo
• Sistemas de supresión de incendio
• Ubicación estratégica de CC
• Paredes, pisos y cielorrasos a prueba de incendios
• Protectores de voltaje
• UPS
• Cableado estructurado
• Energía de emergencia

Modulo V Business Continuity Planning


Parte 2
BUSINESS IMPACT
ANALYSIS

Modulo V Business Continuity Planning


IMPACTO

Es el grado de
afectación que puede
generar en una
organización la
materialización de un
riesgo.

Modulo V Business Continuity Planning


DEFINICION

Análisis de Impacto en el Negocio es el


procedimiento utilizado para identificar los
procesos críticos de la empresa con base en
el impacto que puede generar sobre la
organización la ausencia de estos en caso de
desastre.

Modulo V Business Continuity Planning


OBJETIVOS

Determinar los procesos de negocio críticos.


Estimar el impacto financiero y operacional
de una interrupción y los tiempos de
recuperación requeridos para los procesos
críticos de negocio.
Proporcionar la base para determinar
estrategias efectivas de costo
Identificar las dependencias de recursos
entre diferentes procesos

Modulo V Business Continuity Planning


CUESTIONARIO BIA

Inventario de procesos avalados por la


gerencia con su respectivo responsable de
proceso.
Agrupación de procesos
Alcance del cuestionario: cubrimiento de BIA,
SS, PD.

Modulo V Business Continuity Planning


CUESTIONARIO BIA

Identificación del proceso

Frecuencia

Periodos críticos

t máximo de interrupción

Modulo V Business Continuity Planning


CUESTIONARIO BIA

Volumen por mes

Indicadores de gestión

Dependencias internas / externas

Sistemas de soporte
Modulo V Business Continuity Planning
CUESTIONARIO BIA

Impactos
Financiero Directo
Financiero Indirecto

Cliente Interno
Cliente Externo

Aspectos Legales
Imagen y Reputación

Modulo V Business Continuity Planning


CUESTIONARIO BIA

Recursos mínimos

Procesos alternos (destrucción, pérdida


de sistemas)

Impacto general

Modulo V Business Continuity Planning


CONSIDERACIONES
APLICACIÓN DE CUESTIONARIOS
Selección del personal de
pruebas

Capacitación

Modulo V Business Continuity Planning


CONSIDERACIONES
APLICACIÓN DE CUESTIONARIOS
Correo electrónico

Entrevistas grupales
Entrevistas
personales

Electrónico
Manual

Modulo V Business Continuity Planning


TABULACIÓN
CUESTIONARIOS

Validación de información para evitar


sobreestimación.
Ponderación de cada ítem de acuerdo a los
aspectos/impactos mas relevantes para la
organización.
Tabulación de tiempos, impactos e
indicadores de gestión.
Cruce entre el resultado de la tabulación y las
observaciones.

Modulo V Business Continuity Planning


RTO

Tiempo de Recuperación Objetivo es el


tiempo máximo permisible que una
organización puede funcionar sin un proceso
antes que su impacto sea significativo.

Modulo V Business Continuity Planning


DETERMINAR RTO´s

Con base en la tabulación determinar el RTO


por proceso.
Con base en las Dependencias Internas,
determinar procesos críticos relacionados
(dependencia) y de apoyo.

Modulo V Business Continuity Planning


VALIDACIÓN
PROCESOS CRÍTICOS

Aprobación por la alta


gerencia de los procesos
críticos de negocio,
procesos dependientes y
procesos de soporte.

Modulo V Business Continuity Planning


DIAGNOSTICO

En aquellas organizaciones que tienen BCP, es


aconsejable contratar un diagnóstico que permita
establecer el grado de avance en el plan de
continuidad del negocio. Se evalúa:

Administración del plan


BIA
DRP
Desarrollo y documentación
Mantenimiento y pruebas al plan

Modulo V Business Continuity Planning


DIAGNOSTICO

Se debe hacer énfasis en:

La divulgación y autoconcientización del BCP


Elementos críticos arrojados por el BIA
Autocontrol alineado con el DRP

Modulo V Business Continuity Planning


DIAGNOSTICO

Que entrega el diagnóstico del plan

– Recomendaciones para fortalecer el plan


– Un estado de cómo los elementos antes
enunciados están alineados con las mejores
prácticas.

Divulgación Definición
DRP DRP Desarrollo Mantenimiento Pruebas
y e BIA BCP
IT Procesos BCP BCP
conciencia iniciación

Compañía X

Modulo V Business Continuity Planning


Parte 3
STRATEGY SELECTION

Modulo V Business Continuity Planning


DEFINICION

• Procedimiento
utilizado para
determinar la
opción costo-
beneficio que mejor
se adapte al nivel
de servicio
establecido por la
organización para
sus procesos
críticos.

Modulo V Business Continuity Planning


OBJETIVOS

• Determinar los
recursos mínimos
necesarios para
operar los procesos
críticos.

• Determinar la mejor
opción de
recuperación.

Modulo V Business Continuity Planning


LOS RECURSOS MINIMOS
DE RECUPERACION

• Son los recursos necesarios para


operar con un nivel óptimo de servicio
los procesos críticos de negocio
determinados en el BIA.

Modulo V Business Continuity Planning


DETERMINACION DE RECURSOS
MINIMOS DE RECUPERACION
• Usuarios mínimos (horarios)

• Espacio físico

• Fotocopiadoras, fax, teléfono,


scanner, MODEM, impresora

• Información en archivos físicos o


magnéticos

Modulo V Business Continuity Planning


DETERMINACION DE RECURSOS
MINIMOS DE RECUPERACION

• Computadores
personales
• Aplicaciones
necesarias por equipo
• Elementos de escritorio
• Observaciones

Modulo V Business Continuity Planning


TOTALIZAR RECURSOS
DE RECUPERACIÓN

• Totalizar cada item


• Usuarios por aplicación -
servidores-
• Usuarios por aplicación – equipos
personales-
• Determinar la capacidad de los
servidores, equipos y canales de
comunicación con base en los
tiempos de respuesta.

Modulo V Business Continuity Planning


CRITERIOS SELECCION
SEDE ALTERNA

• Independencia geográfica
• Facilidad de traslado y acceso del recurso
humano
• Acceso al cliente (si aplica)
• Facilidad de operación
• Probabilidad de crecimiento
• Condiciones de seguridad

Modulo V Business Continuity Planning


SELECCION
SEDE ALTERNA

Modulo V Business Continuity Planning


SOLICITUD DE
PROPUESTAS

• Mínimo tres proveedores


• Mínimo dos opciones para
cada tipo de centro de
recuperación (si aplica):

• Centro de proceso propio


• Centro de proceso
prestador del servicio
• Acuerdos mutuos de
servicio

Modulo V Business Continuity Planning


DOCUMENTO PARA
TOMA DE DECISIONES

• Esquema de procesamiento en
contingencia.
• Análisis de costo.
• Distribución física (si aplica)
• Fortalezas y debilidades

• Considerar las posibles combinaciones de


centro alterno de sistemas y de proceso.

Modulo V Business Continuity Planning


Parte 4
PLAN
DEVELOPMENT

Modulo V Business Continuity Planning


DEFINICION

• Consiste en la elaboración del


documento de continuidad
teniendo en cuenta los
procedimientos a seguir ante la
ocurrencia de los siniestros
contemplados

Modulo V Business Continuity Planning


OBJETIVOS

• Definir los planes de acción durante el tiempo que


está activa la contingencia (secuencia de
operación).

• Definir los procedimientos de restauración de la


operación

• Determinar los equipos de recuperación

Modulo V Business Continuity Planning


ACTIVIDADES
INICIALES

• Reunión/formato para determinar


las personas que formaran parte
de cada equipo de recuperación.

• Teléfonos del personal

Modulo V Business Continuity Planning


ACTIVIDADES
INICIALES

• Lista de contactos de
proveedores

• Convenios de soporte

• Diagramas de proceso

• Procedimientos de
recuperación de datos

Modulo V Business Continuity Planning


COMPONENTES
CLAVES DEL BCP

• Personal clave que tome decisiones


• Respaldos de los suministros requeridos
• Organización y asignación de responsabilidades
• Clasificación de riesgos del sistema
• Período de tiempo de recuperación.
• Sistemas que se deben recuperar en el período
crítico.
• Prioridades de procesamiento
• Redes de telecomunicaciones
• Seguros
• Alternativas de recuperación.
• Seguridad física.

Modulo V Business Continuity Planning


EQUIPOS DE
RECUPERACIÓN

• Comité de alta gerencia

• Equipo coordinador del plan

• Equipo de evaluación de daños

• Equipo de recuperación de procesamiento

• Equipo de recuperación de procesos

• Equipo de validación de procesos


recuperados

Modulo V Business Continuity Planning


DIAGRAMA DE FLUJO PARA EJECUCION DEL PLAN

Pueden usarse si Corregir daños


Conocer daños
proced. normales usando proced. Fin
y siniestros
de recuperación? Normales o daños
parciales

Inicio no
Evaluar y notificar
daños

Requiere si
Notificar los equipos Recuperar el
aplicación de plan de recuperación ambiente normal
de contingencias? afectado

Iniciar recuperación
no
de procesos de
no contingencia Se recuperó
el ambiente
Validar recuperación normal?
de procesos

si
Retornar a
procesamiento
normal

Fin
Modulo V Business Continuity Planning
PROCEDIMIENTO DE EVALUACIÓN Y
NOTIFICACIÓN DE DAÑOS
• Determinar si existe una situación de
emergencia

• Determinar los daños

• Activar el proceso de notificación de


acuerdo a la lista de llamadas por
importancia.

Modulo V Business Continuity Planning


FASES DE
RECUPERACIÓN

• Funciones a ejecutar por cada


equipo/miembro de recuperación.

Ø Plan para trasladarse al sitio alterno de proceso

Ø Recuperación y validación de procesos y


aplicaciones en el sitio alterno de proceso

Ø Regreso a una situación normal de operación.

Modulo V Business Continuity Planning


ANEXOS

Modulo V Business Continuity Planning


LISTA DE CHEQUEO
AMENAZA DE BOMBA

• Fecha y hora
• Persona que recibió la llamada
• Preguntas:
• Donde podría estar la bomba
• Cuando detonaría
• Apariencia física
• Tipo de bomba (si la suministra
• o se deduce)
• Mecanismo de activación
• Nombre (si lo da), sexo, edad,
• raza, acento
• Tiempo o duración de la llamada
Modulo V Business Continuity Planning
LISTA DE CHEQUEO
AMENAZA DE BOMBA

• Voz familiar, la reconoce?


• Características de la voz: calma, rabia,
excitación, pausado, ansioso, gritos, llanto,
voz normal, risas, respiración agitada.
• Sonidos percibidos: ruido de ciudad,
voces, música, motores, ambiente de
oficina, ambiente de producción, niños,
ruidos naturales, aviones, otros
• Otras observaciones

Modulo V Business Continuity Planning


DOCUMENTACIÓN DE SINIESTROS

• Naturaleza del siniestro


• Tipo de daño
• Severidad: Ninguna, leve, significativa,
pérdida total
• Duración promedio daño: 12 horas, 24
horas, 2 días, 1 semana, 2 semanas,
mayor
• Fuente de la información

Modulo V Business Continuity Planning


PERSONAL AFECTADO
POR EL SINIESTRO

• Nombre
• Departamento
• Ubicación actual (casa, hospital,
desaparecido)
• Tipo de lesión
• Estado (estable, crítico)
• Familiares contactados

Modulo V Business Continuity Planning


FORMATO VERIFICACIÓN
REQUERIMIENTOS MÍNIMOS
• Nombre del proceso
• Requerimientos mínimos:
• Espacio físico
• Recursos (red, teléfonos, computadores,
impresoras)
• Información
• Elementos de escritorio
• Actividades de recuperación
• Observaciones

Modulo V Business Continuity Planning


REPORTE DEL ESTADO DE
RECUPERACIÓN DEL PROCESO

• Nombre
• Función en el equipo
• Proceso
• Fecha/hora
• Hallazgos
• Observaciones
• Recomendaciones

Modulo V Business Continuity Planning


CAMBIOS AL PLAN

• Nombre de quien diligencia


• Fecha
• Cambio (adición, revisión,
eliminación)
• Nombre de la sección/equipo
• Descripción del cambio

Modulo V Business Continuity Planning


ACTUALIZACIÓN DE VERSIONES

• Física:
– Sección a remplazar
– Revisión realizada
– Fecha de distribución
– Firmas

• Magnética:
– Reemplazo de la versión en la web
– Cambio en el nombre del archivo
– Notificación del cambio (mail, escrito)
Modulo V Business Continuity Planning
Parte 4
TESTING AND
MAINTENANCE

Modulo V Business Continuity Planning


DEFINICION

Procedimiento por el
cual se verifica la
operatividad del
plan y se garantiza
la actualización
periódica de los
esquemas de
recuperación.

Modulo V Business Continuity Planning


OBJETIVOS

• Lograr que los miembros del equipo de


recuperación y los miembros del comité
directivo conozcan con exactitud sus
funciones y responsabilidades.
• Determinar la operabilidad del plan.
• Actualización del sistema de
continuidad de operaciones

Modulo V Business Continuity Planning


PASOS A SEGUIR

• Diseñar y aplicar el plan


de entrenamiento
• Determinar el alcance de
la prueba
• Realizar el análisis
detallado por proceso
/general de recuperación
ideal

Modulo V Business Continuity Planning


PASOS A SEGUIR

• Documentar en línea el resultado de


la recuperación real
• Verificar los resultados
• Determinar las oportunidades de
mejora
• Generación de estadísticas
• Ajustar el manual
• Entrega formal del manual

Modulo V Business Continuity Planning


REVISIONES

Modulo V Business Continuity Planning


REVISIONES
TRIMESTRALES

• Obsolescencia en la relación
personas- elementos de negocio.

– Personal crítico
– Actualización de la información de los
contactos del equipo de recuperación
– Contactos con los proveedores
– Contactos con los clientes
– Listas de empleados
– Números de teléfonos de emergencia

Modulo V Business Continuity Planning


REVISIONES
SEMESTRALES

• La estrategia del negocio y de la


tecnología es cambiante

– El contexto en que se generó la estrategia


– Las estrategias temporales
– Prevención y mitigación de riesgos
– Recursos mínimos requeridos

Modulo V Business Continuity Planning


REVISIONES
ANUALES

• Cambio del funcionamiento global de


la empresa

– Validación de las funciones críticas y los


RTO relacionados
– Asegurar que los planes de acción
minimizan el impacto en la organización
– Los planes se encuentren acorde con los
estándares corporativos
– Aprobación escrita del plan
Modulo V Business Continuity Planning
REVISIONES
POR EVENTOS

• Ocurrencia de eventos que alteran el


plan, por ejemplo:

– Cambio de plataforma tecnológica


– Cierre/apertura de sedes
– Outsourcing (ingreso o cambio)
– Consolidación de procesos
– Lanzamiento de productos
– Venta de negocios
– Reingeniería de los procesos críticos
Modulo V Business Continuity Planning
REVISIONES
POR PRUEBAS

• Desarrollo de
pruebas periódicas

– Evaluar el desarrollo
de la prueba
– Incorporar las
mejoras necesarias
en el plan de
continuidad.

Modulo V Business Continuity Planning


PLANES DE
CONTINGENCIA
APLICADOS EN EL WTC
EL 11 DE SEPTIEMBRE DE
2001

Modulo V Business Continuity Planning


INTRODUCCIÓN

Después de los ataques


contra el WTC el 11 de
septiembre, las empresas
que disponían de un BCP
activaron sus planes con el
fin de recuperar su
operación. Estos son
algunos casos de empresas
que sufrieron el desastre,
las acciones que tomaron y
las ideas que aplicarán en
un futuro para fortalecer su
capacidad de recuperación.

Modulo V Business Continuity Planning


ANTECEDENTES J.P.MORGAN

• Función: Corredores de
Bolsa.
• Ubicado a 3 manzanas del
WTC
• Restricción de acceso al
sector
• Corte de fluido eléctrico, funcionamiento autorizado de
plantas eléctricas sin garantizar el permiso para accesar el
combustible
• Corte total de comunicaciones de voz y datos.

Modulo V Business Continuity Planning


ACCIONES J.P.MORGAN

• Instalaciones de respaldo
de sistemas ubicada en
Wall Street 75, no
afectadas por el desastre
(aprox. 20 cuadras)
• Sede en desarrollo para
una de las dependencias
de la empresa, proyectada
para entrar en servicio en
6 semanas.

Modulo V Business Continuity Planning


ACCIONES J.P.MORGAN

• Utilización adelantada de la
nueva sede, que disponía de
cableado y escritorios.
• Enrutamiento de
comunicaciones
• Trabajo activo de IT 24 h/día
• Acuerdos de provisión de
equipos de computación.
• 17 sept: 100 puestos activos
• 3 oct: 300 puestos activos

Modulo V Business Continuity Planning


PROYECCIONES J.P.MORGAN
• Reubicación de las
instalaciones de
respaldo de sistemas
ubicada en Wall Street
75 hacia fuera de la
ciudad.
• Revisión de Planes de
Contingencia,
enfocándolos al
Recurso Humano.

Modulo V Business Continuity Planning


ANTECEDENTES AMERICAN STOCK
EXCHANGE
• Función: Corredores de Bolsa.
• Ubicado a 50 metros de las torres gemelas en el
WTC
• Oficinas en escombros.
• Pérdida de todas las comunicaciones
• Planes de contingencia no consideraban la
destrucción total de las instalaciones

Modulo V Business Continuity Planning


ACCIONES AMERICAN STOCK
EXCHANGE

• Enrutamiento de las comunicaciones a dos sedes alternas


y a la Bolsa de Nueva York, quien cedió un piso.
• La Bolsa de Nueva York y American Stock Exchange
utilizan la misma plataforma tecnológica y el mismo
proveedor.
• Aglomeración del personal en las diferentes sedes.

Modulo V Business Continuity Planning


ACCIONES AMERICAN STOCK
EXCHANGE

• Reinicio de operaciones el 17 sept/01


• Reenrutamiento de comunicaciones de voz y datos a
la sede al edificio en el WTC.
• Funcionamiento en su propio edificio en el WTC
desde el 1 oct/01, con restricciones de acceso por
retenes de seguridad.

Modulo V Business Continuity Planning


PROYECCIONES AMERICAN STOCK
EXCHANGE
• Revisión de los
planes de
contingencia
aumentando el
alcance a
desastres de
mayor magnitud.

Modulo V Business Continuity Planning


ANTECEDENTES CAMARA DE
COMERCIO

• Función: Operación de
mercancías (café, coco,
azúcar, etc)
• Los planes de contingencia
no consideraban la
destrucción a gran escala.
• Existía un punto de reunión
del personal de IT en caso
de desastre cerca del WTC,
el cual se encontraba
destruido.

Modulo V Business Continuity Planning


ACCIONES CAMARA DE
COMERCIO
• Pagan $300.000 dólares al año por un piso de
respaldo en Queens.
• Traslado a sus instalaciones de respaldo en
Queens de manera inmediata.
• Reunión del personal de IT por medio de búsqueda
directa via telefónica.

Modulo V Business Continuity Planning


ACCIONES CAMARA DE
COMERCIO

• A medianoche del 11 sept/01 la sede alterna se


encontraba en total operatividad
• Limitación de espacio para funcionamiento al 100%
del negocio.

Modulo V Business Continuity Planning


PROYECCIONES CAMARA DE
COMERCIO
• Creación de un nuevo centro
de respaldo con mucha mayor
capacidad (>$1´000.000
/año).
• Sistema electrónico de ruteo
de información (en
desarrollo).
• Extraer las principales
operaciones de IT en una
oficina separada de la sede
principal por razones de
seguridad, debido a que la
operación se establecerá
nuevamente en el WTC. Modulo V Business Continuity Planning
ANTECEDENTES AIG

• Función:
Aseguradora,
American
International Group
• 3r edificio mas alto de Nueva York, a poca distancia del
WTC.
• Algunas copias de respaldo se encontraban en cinta y
fueron olvidadas durante la evacuación.
Modulo V Business Continuity Planning
ACCIONES AIG

• Evacuación de todo el
personal hacia las 3:00
p.m del 11 sept.
• Traslado de todo el
personal de IT (500
personas) a una sede en
el bajo Manhattan.
• Activación de los centros
de respaldo en
Parsippany y SunGard.

Modulo V Business Continuity Planning


ACCIONES AIG

• Apoyo de la operación
en las oficinas de
Nueva York, Londres y
Tokio.
• Suministro instantáneo
de estaciones de
trabajo por parte de
Dell.
• Reapertura de la
operación normal el 17
sept/01

Modulo V Business Continuity Planning


PROYECCIONES AIG

• Las copias de respaldo se realizarán directamente en


un servidor externo.

• Equipamiento de los
empleados para poder
trabajar desde la casa
mediante PC y
navegadores Web
• Refuerzo de los
planes de seguridad
existentes.

Modulo V Business Continuity Planning


ANTECEDENTES TRADEWEB

• Función: Proporcionar una


plataforma para realizar
transacciones de valores en línea.
• Ubicado en el piso 51 de la torre 1
del WTC.
• Seis meses antes, se creó un centro
de respaldo de sistemas en la sede
de Londres.
• Pérdida de las líneas dedicadas que
comunicaban las 13 agencias en
Estados Unidos con la sede de
Nueva York, asi como la totalidad de
las instalaciones.

Modulo V Business Continuity Planning


ACCIONES TRADEWEB

• Evacuación de las 82
personas que
trabajaban en la
empresa.
• Se usaron ocho
sicólogos para atender
el personal.
• Demoró siete días en
trasladarse a la sede
temporal en Jersey City,
y 20 días para poner en
funcionamiento su
plataforma nacional.
Modulo V Business Continuity Planning
ACCIONES TRADEWEB
• Orientación de las
direcciones IP de
Nueva York a
Londres.
• Crear una nueva
conexión de las 13
agencias de
Estados Unidos con
Londres demoró un
mes.

Modulo V Business Continuity Planning


PROYECCIONES TRADEWEB
• Creación de una red
privada virtual (VPN)
entre las agencias y la
sede principal
• Nuevo centro de datos
en Jersey City con
funcionalidades de
respaldo.

Modulo V Business Continuity Planning


CONCLUSIONES

Los planes de contingencia no contienen obligatoriamente


todas las opciones de desastre posibles. El contar con un
plan de continuidad
específico para un
escenario permite
generar nuevos
planes de
recuperación que
se pueden
elaborar durante
eventualidades no
contempladas.

Modulo V Business Continuity Planning


CONCLUSIONES

• Las empresas que


poseen plan de
contingencia
desarrollado para
recuperar la operación
en un ambiente de
destrucción parcial
poseen una alta
capacidad de respuesta
ante desastres totales
y/o de larga duración.
Modulo V Business Continuity Planning
CONCLUSIONES

• Identificar las
diferentes
empresas que
manejan las
mismas
plataformas de
comunicacione
s, hardware y
software.
• Es importante tener buenas relaciones con empresas
similares.
• Acuerdos de servicio vigentes con proveedores.
Modulo V Business Continuity Planning
CONCLUSIONES

• Copias externas de la totalidad de


la información.
• Considerar planes para la
superación de la catástrofe por
parte del Recurso Humano.
• Descentralización de la operación
para proteger el Recurso Humano
y facilitar las opciones de
recuperación.

Modulo V Business Continuity Planning

También podría gustarte